News Deepin 23 Preview: China-Distribution auf Debian-Basis mit neuem Paketformat

[x.treme]

Hinter Ubuntu steht eine Foundation, die Mitglieder der Kern-Community aus ihrem Budget einstellt.

Die Frage ist immer, wie ist die Governance-Struktur von einem OS-Projekt und wieviele Leute arbeiten wirklich aktiv am Quellcode mit? Steuert alleine das Unternehmen die Entwicklung und veröffentlich lediglich den Quellcode, oder ist es wirklich ein gemeinschaftliches Projekt?

Siehe hier die Struktur bei Ubuntu: https://ubuntu.com/community/governance
OpenSource Quellcode != OpenSource Entwicklungsmodell

 

[netzgestaltung]

Haha SABDFL

SABDFL​

This is not a democracy, it’s a meritocracy. We try to operate more on consensus than on votes, seeking agreement from the people who will have to do the work. Mark Shuttleworth, as self-appointed benevolent dictator for life (SABDFL), plays the happily undemocratic role of sponsor to the project. He has the ability, with regard to Canonical employees, to ask people to work on specific projects, specific feature goals and specific bugs.

He also has a casting vote on the Technical Board and Community Council, should it come to a vote. This capacity is not used lightly.

The community functions best when it can reach broad consensus about a way forward. However, it is not uncommon in the open-source world for there to be multiple good arguments, no clear consensus, and for open questions to divide communities rather than enrich them. The debate absorbs the energy that might otherwise have gone towards the creation of a solution. In many cases, there is no one ‘right’ answer, and what is needed is a decision more than a debate. The SABDFL acts to provide clear leadership on difficult issues, and set the pace for the project.

 

[Gigalodon]

Ich kann verstehen wenn man vorsichtig ist bei OS, die von „bekannten Spionen“ kommen, sei es Fedora (US-amerikanisches Unternehmen) oder halt auch Deepin.
Denke aber schon aus Prinzip, dass dort nichts von nach Hause funken ist, denn diese Distros wären sofort außerhalb ihres Einsatzes tot, sobald was herausgefunden wird

 

[nazgul77]

Is Deepin Linux safe, or is it spyware?

https://www.fosslinux.com/48103/deepin-linux-safe-spyware.htm

Ein älterer Artikel (2019) mit ähnlichem Resüme: Bislang kein Nachweis von Spyware, aber die Datensammlung ist bedenklich:
https://www.linuxinsider.com/story/deepin-linux-security-threat-or-safe-to-use-86044.html

SuSE hatte sich den Desktop schon früh angeschaut, aber wegen Risiken die Adoption abgelehnt.
Bisher sind ihre Bedenken noch nicht alle gelöst.

Generell weiß man aber nicht genau, ob neben dem Open Source Teilen noch weiterer Code in die Oberfläche oder die grundlegende Distro eingeflossen sind. => Stichwort reproducible build , nach meinem Wissen nicht vorhanden.
Also beste Option, wie andere schon sagten: Nimm eine nicht-chinesische Distro und installiere darin Deepin. Das wird aus den offenen Quellen gebaut.

 

[Miuwa]

Das ist durchaus richtig, aber die Zahl derer, die gerne den "ich-wusste-es-Tanz" aufführen würden, scheint mir hoch genug zu sein. So dass ich davon ausgehe, dass hier viele Leute genauer nachschauen, als bei anderen Distributionen.

Das mag sein, hilft aber nur bedingt.
Wenn die Prämisse ist: "Ich vertraue der Intention der Deepin Entwickler (bzw. der Firma etc.) weniger, als den Entwicklern von anderen Distros", dann brauche ich auch viel (viel) mehr externe Aufmerksamkeit nur um dieses Defizit auszugleichen. Das Problem ist ja immer, dass der "Angreifer" (hier der "Böse" Entwickler) entscheiden kann, wann und wo er seine Backdoor installiert, während die Verteidiger (due externen Reviewer) sich Millionen/Milliarden Zeilen Code ansehen und verstehen müssen - und auch jede Änderung erneut überprüfen müssen (inklusive möglicher neuer Interaktionen). Und das alles ohne überhaupt zu wissen, ob es überhaupt was zu finden gibt. Ein paar Enthusiasten würden da wahrscheinlich keinen signifikanten Unterschied machen.

Ich wüsste halt leider nicht, wie man diese verschiedenen Faktoren am Ende quantifizieren und gegeneinander Aufrechnen sollte, selbst wenn ich konkret wüsste wie, wie häufig und von wem Deepin untersucht wird. Am Ende bleibt dann doch wieder nur das Bauchgefühl und die Erkenntnis, dass ich persönlich ohnhin keinen Grund habe Deepin zu nutzen und mich daher erst garnicht mit der Frage rumschlagen muss. Weil ich allerdings auch nicht mehr als mein Bauchgefühl habe empfehle ich anderen weder es zu nutzen, noch es nicht zu nutzen.

Wenns um die Sicherheit von OS software geht, bei der ja "bestimmt viele Leute drüber schauen" sind für mich halt immer Heartbleed und die Affäre um die bewusst fehlerhaften Kernel Patches von der Universität von Minnesota (https://www.heise.de/news/Bugs-mit-...nux-Kernel-Mitarbeit-ausgesperrt-6024245.html) ein warnendes Beispiel.

Natürlich is OS - unter ansonsten gleichen Voraussetzungen- immernoch um Welten besser, als CS, aber hier gehts ja um OS vs OS - wo es natürlichriesige Unterschiede gibt - und davon unabhängig hat man auch praktisch nie gleiche Voraussetzungen.

 

[Beelzebot]

Mit einer Erweiterung für Grub wird dann vor jedem update ein Snapshot erstellt in welchen auch direkt gebootet werden kann.

Nachdem man sie wieder beschreibbar gemacht hat
Ich bin kürzlich über astOS (Arch Snapshot Tree OS) gestolpert. Von einem OS kann man eigentlich noch nicht sprechen, es ist über eine Arch.iso als Skript installierbar.
Das will ich mir dennoch mal anschauen, vll ist das auch irgendwann mal eine News wert @SVΞN ?

Deepin halte ich für einen Testballon seitens Chinas um zukünftig großflächig westliche Betriebssysteme aus dem "Nabel der Welt" zu verbannen. Dementsprechend skeptisch betrachte ich das Projekt.

 

[Miuwa]

Denke aber schon aus Prinzip, dass dort nichts von nach Hause funken ist, denn diese Distros wären sofort außerhalb ihres Einsatzes tot, sobald was herausgefunden wird

Definiere "nach Hause funken". Telemetrie gibt es meines wissens bei Deepin durchaus (bei Fedora hab ich mal gelesen, dass alles nur Opt-In ist) - hab mich damit aber nicht näher beschäftigt.

 

[JimPanse1984]

Wie das Rollback umgesetzt ist wuerde mich auch mal interessieren

Vielleicht haben sie TimeShift integriert - welches vor jeder Update Install einen Snapshot anlegt? Mache ich unter Manjaro auch so, dort halt manuell.

 

[Creeping.Death]

@Miuwa ich kann nicht sagen, ob eine Distribution "safe" ist oder nicht. Auch behaupte ich nicht, dass OpenSource generell die Lösung aller Sicherheitsbedenken darstellt (ich kenne auch ein Beispiel, wo ein Aprilscherz für Aufsehen sorgte).
Ich störe mich nur an diesem - teils recht primitiven - China-Bashing. Speziell hier auf ComputerBase fällt mir das in letzter Zeit immer mehr auf.
Was wurde aus dem Grundsatz "im Zweifel für den Angeklagten"? Hier wird alles aus China grundsätzlich "schuldig" gesprochen. Wer anderer Meinung ist muss das erst mal beweisen.

Mein (halbwegs) gesunder Menschenverstand sagt mir in diesem konkreten Fall "Deepin Linux" einfach, dass die chinesische Regierung niemals so dämlich wäre Spionage im Ausland(!) so offensichtlich zu betreiben.

Die meisten Privacy-Bedenken entstehen hier eher, wenn man einen Deepin Account (oder Deepin ID?) anlegt.
Dann hat man den ganzen Rattenschwanz an potenziellen Gefahren an der Backe wie mit einem Google-, Microsoft-, xyz-Account.

Letztendlich finde ich es schade, dass hier der Leistung des Entwicklerteams - für eine wirklich neue Linuxerfahrung - offenbar weniger Beachtung geschenkt wird, als dem üblichen "was China? Böse!".

 

[fixedwater]

Ich hatte mir den Desktop schon öfter angesehen. Sieht hübsch aus, aber mir ist das dann doch zu viel Bonbonladen mit Hello-Kitty-Aktionswochen. Lief in der VM und auch mal auf einem Restcomputer aber auch eher unrund: Einstellungen zerhackten teilweise die Oberfläche, blieb manchmal hängen, sowas. Und ja, über die Datensammelei hab ich auch schon gelesen - also lassen wir das lieber.

 

[flaphoschi]

Es würde doch schon reichen, wenn auch nur ein einziger verdächtiger Code in irgendeinem der Pakete gefunden wird. Dann wäre der Ruf von Deepin - und damit die ganze Distribution - an einem einzigen Tag am Ende.

https://de.wikipedia.org/wiki/Deepin#Spionagevorwürfe
Offenbar war das aber nicht "nur" die Website sondern der lokale Store auf dem System:

Vor dem Hintergrund. Es reicht fachlich nicht aus, dass der Quellcode eine Prüfung besteht, wenn laufend Updates eingespielt werden. Dann muss auch jedes einzelne Update frei von Bedenken sein. Mein Vertrauenslevel ist in etwa so hoch wie bei vermeintlich kostenloser Software von Facebook bzw. Meta oder der NSA.

Hier hat dankenswerter Weiste schon jemand den Link gepostet:
https://www.fosslinux.com/48103/deepin-linux-safe-spyware.htm

Now here’s the thing, Union Tech started out as a joint venture between Wuhan Deepin Technology and a state-run corporation. And now, it has completely acquired Deepin, and the Deepin founder Liu Wenhan is placed as Union Tech’s General Manager. This means that the Chinese government now has even more power over Deepin OS as it’s owned by a state-run corporation.

Also wie bei so vielen Unternehmen aus China wohl tatsächlich eine staatliches Unternehmen. Kein Vertrauen.

 

[SpicyWolf]

ich habe doch nochmal weitergeschaut und gesehen, dass in /etc config dateien zu programmen rumliegen, die gar nicht installiert sind. mein verdacht war, dass diese schon durch die basisinstallation mitkommen. dies betrifft unter anderem auch die host-keys für openssh! die müssen auf jedem system einzigartig sein, aber deepin os installiert auf jedem system per default den gleichen schlüssel. da hat jemand schon ganz grundlegende dinge nicht verstanden und diesem os würde ich niemals irgendwelche daten anvertrauen.

Warte mal, wenn ich jetzt einen Public Key unter deepin erzeuge, ohne einen neuen Key zu generieren und auf meine Server schubse kann tatsächlich jeder deepin Nutzer auf die Server zugreifen oder habe ich da jetzt einen Denkfehler?

 

[yxcvb]

Ich zitiere jetzt mal einfach Wikipedia:

2018 wurde bekannt, dass die Statistikerhebung von Deepin die Spyware CNZZ des chinesischen Konzerns Umeng+ beinhaltet. Das Unternehmen gab daraufhin bekannt, es würde keine privaten Nutzerdaten sammeln. Laut Deepin ist CNZZ ein Webservice ähnlich Google Analytics und wird dazu verwendet, anonym Nutzerdaten wie die Fenstergröße, den verwendeten Browser und den Useragent zu erheben, um damit zu analysieren, wie der Deepin Store genutzt wurde, und auf Grundlage dessen diesen zu verbessern.[20]

Aufgrund der negativen Reaktionen der Nutzer entfernte das Unternehmen am 20. Juli 2018 CNZZ von der Deepin App Store Webseite.[21]

Der Kopf der Abteilung zur Aufklärung von Bedrohungsszenarien bei Radware äußerte Bedenken darüber, dass Deepin die Analysedaten an die chinesische Regierung weitergeben könne, denn auch wenn CNZZ entfernt wurde, so werden doch weiterhin Daten gesammelt mittels Diensten von Umeng+.[22] Laut dem Anwalt für Informationssicherheit Steven T. Snyder, ist es aufgrund der schieren Größe von Deepin's Codebasis, unmöglich auszuschließen, dass die chinesische Regierung dort über Hintertüren verfügt. Des Weiteren unterhält Deepin Verbindungen zu Huawei, dessen Produkte in einigen Ländern verboten sind.

Ist es wirklich eine gute Idee, das Menschen, die meinen von MS ausspioniert zu werden, auf eine chinesische Software setzen?

 

[Creeping.Death]

@flaphoschi das war schon in dem anderen Artikel, der hier verlinkt wurde enthalten.
Es wurde eine Webseite geöffnet, die einen Tracker ähnlich Google-Analytics enthält. Ist sicher nicht schön, aber auch kein Weltuntergang.

Man kann aus dem Artikel aber auch dies zitieren, denn das bringt es mehr auf den Punkt:

This type of scenario poses a 50-50 situation. A project based in China should get higher scrutiny than some other open source projects, according to Snyder.

“I think it is something to monitor. On a personal level, I’m not sure that it is any riskier than anything else,” he concluded.

“It is open source code sitting out there — but we are more on guard with China. It would be kind of brazen of them to fiddle with something like that, but maybe someone will say, ‘We’ll try it.'”

 

[flaphoschi]

Hätte ich ein Unternehmen wo ich auf kein einziges Windows Programm angewiesen wäre bzw wenn es keine Alternative für Linux gäbe .. dann würde ich schon aus Kostengründen kein Windows oder Apple nutzen.

Die Kosten eines Betriebssystem, sind hoffentlich immer der am wenigsten wichtige Punkt bei der Entscheidung. Die Zielsetung freier Software ist Kontrolle.

Gibt ja hier und da ein paar Schulen die es machen finde ich sehr gut, Windows hat zu viel Macht in diesem Bereich meine Meinung

Womit wir bei Macht wären. Apple (iPad), Google (Chromebook) und Microsoft (Surface) haben den Heimunterricht genutzt um die Nutzerbasis und frühe Abhängigkeit auszudehnen. Und damit die Prägung auf ein jeweils geschlossenes Betriebssystem.

Das es nicht Ziel war Dateisysteme oder Zehnfingerschreiben zu vermitteln ist klar, leider fehlt das vielen Kindern inzwischen. Wir brauchen auch keinen Programmierunterricht (für 95% aller Kinder nicht angebracht), aber eine Unterricht in Informationstechologie (so nutzt man eine Tastatur, so organisiert man Dateien, keine privaten Daten auf fremden Servern...).

Ergänzung (17. August 2022)

@flaphoschi das war schon in dem anderen Artikel, der hier verlinkt wurde enthalten.
Es wurde eine Webseite geöffnet, die einen Tracker ähnlich Google-Analytics enthält. Ist sicher nicht schön, aber auch kein Weltuntergang.

Man kann aus dem Artikel aber auch dies zitieren, denn das bringt es mehr auf den Punkt:

Das war laut Artikel wohl eben der eingebaute Store, nicht eine Website. Das Ding ist beim Booten schon gestartet worden oder beim öffnen des Stores. Beschreibt auch der Artikel

Der Vergleich mit "Google Analytics" und "Webbrowsern" führt also in die Irre. Damit das nicht so schlimm klingt?

 

[andy_m4]

Mein Vertrauenslevel ist in etwa so hoch wie bei vermeintlich kostenloser Software von Facebook bzw. Meta oder der NSA.

Dann hab ich schlechte Nachrichten für Dich: SELinux (offizieller Bestandteil des Linux-Kernels) ist hauptsächlich ein NSA-Projekt.
Und wer sonst noch über all wo Patches einreicht weißt Du im Zweifel auch nicht. Vor allem da umso verbreiteter ein Projekt ist, desto mehr lohnt es sich ja auch da seine Finger reinzukriegen. Desto höher ist generell das Risiko einzuschätzen.

Von daher ist alles gar nicht so einfach.

ist es aufgrund der schieren Größe von Deepin's Codebasis, unmöglich auszuschließen, dass die chinesische Regierung dort über Hintertüren verfügt.

Ja. Kann sein. Aber Du weißt halt auch nicht, wo andere Regierungen über mit drin hängen. Der übliche Weg ist das auch gar nicht direkt zu machen, sondern verdeckt jemand anderes dafür zu bezahlen das er es für Dich tut, damit Du auch gar nicht selbst damit in Verbindung kommst. Insofern hat Deepin ja sogar noch ein transparenten Umgang damit.

Des Weiteren unterhält Deepin Verbindungen zu Huawei, dessen Produkte in einigen Ländern verboten sind.

Wobei diese Huawei-Geschichte doch arg danach riecht, als würde man hier Wirtschaftsprotektionismus betreiben. Denn handfeste Vorwürfe gibt es nicht. Das ist mehr so auf der Basis "da könnte ja was sein".
Auf der anderen Seite bietet Huawei Technologien und das noch zu einem Preis, da können andere (westeuropäische) Netzwerkausrüster halt nicht mithalten.

Auf der anderen Seite hatten wir vor ein paar Jahren die Snowden-Enthüllungen, wo quasi offenbar wurde das Technologieunternehmen involviert waren. Und da wurden komischerweise aber keine Verbote ausgesprochen.

Insofern finde ich es etwas fragwürdig sich da an der Huawei-Geschichte aufzuhängen.

 

[Termy]

Vielleicht haben sie TimeShift integriert

Naja ohne jetzt die eigentlichen Quellen konsultiert zu haben klingt es fuer mich eher danach, als sei das ein Feature vom neuen Paketmanager? Vielleicht interpretiere ich das natuerlich auch nur falsch xD

 

[seyfhor]

Nachdem ich mir den von @yummycandy verlinkten Artikel durchgelesen habe shee ich wirklich keinen Grund das OS zu nutzen.
Die DE ist aber ganz schick. Schade, dass es kein Manjaro DDE mehr gibt, wär für mich mal eben deutlich einfacher als sich die DE selber drauf zu packen zum ansehen.

 

[Creeping.Death]

Das war laut Artikel wohl eben der eingebaute Store, nicht eine Website. Das Ding ist beim Booten schon gestartet worden oder beim öffnen des Stores. Beschreibt auch der Artikel

Der Store ist im Prinzip nichts anderes als eine Webseite:

In a nutshell, the Deepin Store backend is basically a website. It had a tracker embedded that collected browser agents and system information and sent it to a Chinese analytics firm – CNZZ.

Quelle

 

[flaphoschi]

Dann hab ich schlechte Nachrichten für Dich: SELinux (offizieller Bestandteil des Linux-Kernels) ist hauptsächlich ein NSA-Projekt.

Das ist bekannt. Auch wenn ich SELinux nicht nutze, ist es wichtig zu verstehend, dass der Code im Linux-Kernel betreut wird. Nicht am Kernel vorbei von der NSA heimlich durch einen Hintertür. Quellcode wir nicht gut oder schlecht durch den Urheber, sondern die Implementierung und Kontrolle darüber.

Das Diskussionsfeld wird auch ansonsten ungleich weit, von den Verschlüsselungsalgorithmen welche das NIST auswählt, dem massiv aufgeblassenen UEFI und SecureBoot, den RND-Generatoren in den CPUs und wohl am schwerwiegensten Pluton von Microsoft. Oft genug haben staatliche Stellen auch Zugriff auf die Certificate-Authorities.